Políticas de notificación de vulneraciones de datos ... · de acceso a bases de datos, un equipo...
Transcript of Políticas de notificación de vulneraciones de datos ... · de acceso a bases de datos, un equipo...
3
Artículo 12, A.C. https://www.sontusdatos.org
Tabla de contenido
Acerca de SonTusDatos y Artículo 12, A.C........................................................ 5
Conceptos fundamentales sobre los datos personales .................................... 6
¿Qué son las vulneraciones de datos personales? ........................................... 8
Las vulneraciones de datos personales y su impacto..................................... 18
Afectaciones a los titulares ................................................................................................................. 18
Afectaciones a las empresas responsables ...................................................................................... 20
Encuesta sobre ................................................................................................ 21
Políticas de notificación de vulneraciones de datos personales en el sector
privado ............................................................................................................ 21
Metodología .......................................................................................................................................... 22
Objetivos de la encuesta .................................................................................................................... 23
Etapas de la encuesta ......................................................................................................................... 24
Empresas seleccionadas para la encuesta ....................................................................................... 25
Preguntas que componen la encuesta ............................................................................................. 30
Evaluación ............................................................................................................................................. 32
Análisis cuantitativo ....................................................................................... 35
PREGUNTA No. 1: ¿La empresa ha implementado un sistema de seguridad de la
información (con medidas de seguridad físicas, técnicas y administrativas) para prevenir
vulneraciones de los datos personales que recaba? ...................................................................... 38
PREGUNTA No. 2: ¿La empresa cuenta con al menos un elemento (por ejemplo, un control
de acceso a bases de datos, un equipo de personas que atienda incidentes, un sistema de
detección de intrusos, una herramienta antivirus o procedimientos para auditoría de
bitácoras) que le permita detectar vulneraciones de datos personales? .................................... 39
PREGUNTA No. 3: ¿La empresa cuenta con procedimientos y personal para llevar a cabo la
notificación de vulneración de datos? .............................................................................................. 40
PREGUNTA No. 4: En caso de una vulneración de datos personales, ¿la empresa notificaría
a las personas cuyos datos han sido vulnerados? .......................................................................... 41
Empresas Destacadas ..................................................................................... 42
Consideraciones Finales ................................................................................. 56
¿Cómo explicar la baja participación a la encuesta? ...................................................................... 56
4
Encuesta sobre políticas de notificación de vulneraciones de datos personales en el sector privado.
Licencia CC 4.0
Problemas detectados en las empresas en materia de protección de datos personales durante
el levantamiento de la encuesta. ...................................................................................................... 57
Recomendaciones ................................................................................................................................ 62
¿Por qué es importante que las empresas notifiquen sus vulneraciones de
datos personales? ........................................................................................... 66
Información de contacto ................................................................................ 70
Propiedad Intelectual ..................................................................................... 71
5
Artículo 12, A.C. https://www.sontusdatos.org
Acerca de SonTusDatos y Artículo 12, A.C.
Artículo 12, A.C.
Es una organización sin ánimo de lucro y la primera asociación civil que promueve,
protege y defiende los derechos a la privacidad y a la privacidad de los datos personales
de los usuarios de las tecnologías de la información y del internet en México.
Su nombre se refiere al artículo 12 de la Declaración Universal de Derechos Humanos de
las Naciones Unidas, el cual garantiza la protección de la vida privada, la familia, el
domicilio, la correspondencia y de los ataques a la honra y reputación de los individuos.
SonTusDatos
“SonTusDatos” es el programa de Artículo 12, A.C. que es dedicado a la defensa,
promoción y protección de los derechos a la privacidad y a la protección de datos
personales de las y los usuarios de Internet y otras TIC en México.
Ser la primera organización sin ánimo de lucro en México defensora de los derechos de los usuarios de tecnologías de la información y comunicación, con un enfoque particular sobre la protección de su privacidad y de sus datos personales en la Sociedad de la Información.
Visión
* Concientizar a la población en México sobre el derecho a la privacidad y a la protección de datos personales. * Promover una cultura de protección de datos en los consumidores y usuarios de TIC’s y del Internet.
Misión
* Capacitar, informar y empoderar a los usuarios de TICs e Internet sobre sus derechos.
* Actuar en su nombre ante las instituciones públicas para defender sus intereses.
* Denunciar las violaciones de sus derechos.
Objetivos
6
Encuesta sobre políticas de notificación de vulneraciones de datos personales en el sector privado.
Licencia CC 4.0
Conceptos fundamentales sobre los datos
personales
Un dato personal es “cualquier información concerniente a una persona física identificada
o identificable”1 “como puede ser el nombre, los apellidos, la dirección postal, el número
de teléfono, la dirección de correo electrónico, el número de pasaporte, una fotografía,
la Clave Única de Registro de Población (CURP) o cualquier otra información que permita
identificar o haga identificable al titular de los datos”.2
El “tratamiento” es obtener, usar, divulgar, almacenar, acceder, manejar, aprovechar,
transferir o disponer de datos personales.
El “responsable” es la persona física o moral (empresa) de carácter privado que decide
sobre el tratamiento de los datos personales.
La protección de los datos personales está fundamentada de acuerdo al sector aplicable
– público o privado). En el sector privado, la norma aplicable es la Ley Federal de
Protección de Datos Personales en Posesión de Particulares (LFPDPPP). La LFPDPPP
tiene como objetivo la protección de los datos personales en posesión de los particulares,
con la finalidad de regular su tratamiento legítimo, controlado e informado y a efecto de
garantizar la privacidad y el derecho a la autodeterminación informativa de las personas.
La protección de los datos personales es un “derecho humano” reconocido el artículo 6,
inciso A, fracción II de la Constitución Política de los Estados Unidos Mexicanos, al
1 Artículo 3, Fracc. V. Ley Federal de Protección de Datos Personales en Posesión de los Particulares (2010,
05 Julio). [En línea] Disponible en: http://www.diputados.gob.mx/LeyesBiblio/pdf/LFPDPPP.pdf. 2 Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI). Guía para cumplir con los principios y deberes de las Ley Federal de Protección de Datos Personales en Posesión de los Particulares (Junio 2016). [En línea]. Disponible en: http://inicio.ifai.org.mx/DocumentosdeInteres/Guia_obligaciones_lfpdppp_junio2016.pdf.
7
Artículo 12, A.C. https://www.sontusdatos.org
establecer que “la información que se refiere a la vida privada y los datos personales será
protegida en los términos y con las excepciones que fijen las leyes.”
Son sujetos regulados por la LFPDPPP los particulares, sean personas físicas o morales
(empresas), que llevan a cabo el tratamiento de datos personales (los “responsables de
tratamiento”). Los responsables del tratamiento de datos personales deben cumplir con
los principios que establece la LFPDPPP y las obligaciones que impone.
La LFPDPPP impone obligaciones a las personas físicas y morales que tratan datos
personales y otorga derechos a los titulares de los datos a fin de garantizar el buen uso
de la información personal y la privacidad y derecho a la autodeterminación informativa
de las personas.”3
Una de las obligaciones que impone la LFPDPPP a los particulares es que las
vulneraciones de datos personales, ocurridas en cualquier fase del tratamiento y que
afecten de forma significativa los derechos patrimoniales o morales de los titulares, serán
informadas de forma inmediata por el responsable al titular a fin de que este último
pueda tomar las medidas correspondientes a la defensa de sus derechos, esto de acuerdo
con al artículo 20 de la LFPDPPP4.
3 Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI).
Guía para cumplir con los principios y deberes de las Ley Federal de Protección de Datos Personales en Posesión de los Particulares (Junio 2016). [En línea]. Disponible en: http://inicio.ifai.org.mx/DocumentosdeInteres/Guia_obligaciones_lfpdppp_junio2016.pdf. 4 Ley Federal de Protección de Datos Personales en Posesión de los Particulares. (2010, 05 Julio). [En línea] Disponible en: http://www.diputados.gob.mx/LeyesBiblio/pdf/LFPDPPP.pdf.
8
Encuesta sobre políticas de notificación de vulneraciones de datos personales en el sector privado.
Licencia CC 4.0
¿Qué son las vulneraciones de datos
personales?
De acuerdo al artículo 63 del Reglamento de la LFPDPPP5, las vulneraciones de datos
personales ocurridas en cualquier fase del tratamiento son:
La pérdida o destrucción no autorizada;
El robo, extravío o copia no autorizada;
El uso, acceso o tratamiento no autorizado; o
El daño, la alteración o modificación no autorizada.
¿Qué se considera una vulneración a la seguridad? – Fuente: INAI 6
Las vulneraciones de datos personales ocurridas durante el tratamiento que afecten de
forma significativa los derechos patrimoniales o morales de los titulares, de acuerdo con
5 Ley Federal de Protección de Datos Personales en Posesión de los Particulares (2010, 05 Julio). [En línea].
México: Cámara de Diputados del Congreso de la Unión. Disponible en: http://www.diputados.gob.mx/LeyesBiblio/pdf/LFPDPPP.pdf. 6 Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI).
Guía para cumplir con los principios y deberes de las Ley Federal de Protección de Datos Personales en Posesión de los Particulares. (Junio 2016). [En línea]. Pág. 72 Disponible en:
http://inicio.ifai.org.mx/DocumentosdeInteres/Guia_obligaciones_lfpdppp_junio2016.pdf.
9
Artículo 12, A.C. https://www.sontusdatos.org
la LFPDPPP7, deben ser informadas de forma inmediata por el responsable del
tratamiento a los titulares de los datos personales.
Las notificaciones de vulneraciones de datos personales que afectan de manera
significativa los derechos patrimoniales o morales de los titulares de datos deben
realizarse, en cuanto el responsable del tratamiento haya confirmado que ocurrió una
vulneración y además haya tomado las acciones encaminadas a llevar un proceso de
revisión exhaustiva de la magnitud de la afectación.
Es importante recalcar que las notificaciones de vulneraciones de datos personales deben
ser realizadas sin dilación alguna, ya que la finalidad de la notificación es que los titulares
afectados puedan tomar medidas tendientes a la defensa de sus derechos.
En la notificación de las vulneraciones, es necesario informar al menos:
La naturaleza del incidente;
Los datos personales comprometidos;
Las recomendaciones al titular acerca de las medidas que éste pueda adoptar para
proteger sus intereses;
Las acciones correctivas realizadas de forma inmediata; y
Los medios donde puede obtener más información al respecto.
7 Art. 20 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (2010, 05 Julio). [En línea] Disponible en: http://www.diputados.gob.mx/LeyesBiblio/pdf/LFPDPPP.pdf.
10
Encuesta sobre políticas de notificación de vulneraciones de datos personales en el sector privado.
Licencia CC 4.0
Justificación de la encuesta
Realizamos esta encuesta para averiguar el conocimiento que tienen las empresas sobre
la obligación que establece la LFPDPPP de notificar las vulneraciones de datos personales.
La realización de esta encuesta surge a partir de la necesidad de conocer de cerca el
nivel de conocimiento y compromiso que tienen las empresas en México respecto a este
tema ya que, a nivel mundial, las tendencias de vulneraciones de datos personales van
en aumento, afectando de manera significativa a los titulares y a las empresas
responsables del tratamiento.
Las vulneraciones de datos personales pueden ser originadas al interior de las empresas,
por sus propios empleados, o desde el exterior, por proveedores, cibercriminales o
hacktivistas, entre otros.
Estudios como el “Informe de defensa en ciber amenazas 2016” (2016 Ciberthreat
Defense Report”), realizado a más de 1,000 empresas de diferentes países de Norte
América, Europa, Asia Pacífico y Latinoamérica por el CyberEdge Group, muestran datos
sobre los ciberataques que han sufrido empresas de todo el mundo.
Datos de ese informe indican que, en México, el 74.6% de las empresas mexicanas
participantes, respondieron que las redes globales informáticas de sus organizaciones
estuvieron comprometidas, al menos una vez, a un ciberataque exitoso en los 12 meses
anteriores al estudio.
Datos del estudio de CyberEdge Group muestran que el porcentaje de entre 1 y 5
ciberataques exitosos ha incrementado entre las empresas participantes de la encuesta
ya que, en el año 2014, el porcentaje representó 45.6% del total de las empresas
11
Artículo 12, A.C. https://www.sontusdatos.org
mientras que, en el año 2015, el porcentaje creció al 47.9% y en el 2016, el porcentaje
de empresas afectadas es más del 51.9%.
Frecuencia de ciber ataques exitosos8 ¿Cuántas veces estima que la red global de su organización ha sido comprometida
derivado de ciberataques en los pasados 12 meses? Fuente: CiberEdge Group - 2016 Ciberthreat defense report.
De acuerdo a datos del mismo reporte de CyberEdge Group, el 53.5% de las empresas
mexicanas estiman que en los próximos 12 meses sufrirán un ciberataque y únicamente
el 37.2% de las empresas estiman que su departamento de tecnologías de la información
crecerá un 10% en el año 2016.
8 Figura 3: Frecuencia de ciber ataques exitosos en los pasados 12 meses. La figura 3 muestra un comparativo por años y por porcentaje de empresas que han sufrido un ciberataque: Ninguna vez; Entre
1 y 5 veces; Entre 6 y 10 veces; Más de 10 veces. Figura 4: Porcentaje de empresas comprometidas al menos una vez en los pasados 12 meses.
12
Encuesta sobre políticas de notificación de vulneraciones de datos personales en el sector privado.
Licencia CC 4.0
Futura probabilidad de ciberataques exitosos9. ¿Cuál es la probabilidad de que la red de su organización se vea comprometida por
un exitoso ataque cibernético? Fuente: CiberEdge Group - 2016 Ciberthreat defense report
En México, de acuerdo a las prácticas que realizan las empresas, las notificaciones de
vulneraciones de datos personales son notificadas únicamente para cumplir con
normativas como la Ley del Mercado de Valores, tal como en la vulneración que sufrió la
empresa El Puerto de Liverpool S.A.B. de C.V.
La empresa El Puerto de Liverpool S.A.B. de C.V., empresa considerada una de las
emisoras de crédito al consumo más grande en México y una de las más importantes
tiendas departamentales, el día 24 de diciembre de 2014, reportó a la Comisión de la
Bolsa Mexicana de Valores que “había sido víctima de un intento de extorsión que
supuestamente buscaba dañar su reputación”. Así mismo, dio a conocer que los
supuestos autores del hecho lograron una intrusión en correos electrónicos del personal
y también “obtuvieron información de algunos clientes”. La empresa denunció esos
99 Figura 5 Probabilidad de ser exitosamente atacados en los próximos 12 meses. La figura 5 muestra un comparativo por años y por porcentaje de empresas que estiman sufrir un ciberataque con las respuestas:
Nada probable, Algo que no es probable, Algo probable, Muy probable. Figura 6. Porcentaje de empresas por país, que indican que es más que probable que sufran ciberataques.
13
Artículo 12, A.C. https://www.sontusdatos.org
hechos ante las autoridades e informó a sus inversionistas que el riesgo derivado de
dicha intrusión era bajo.”10
Cabe hacer mención que la notificación que hizo El Puerto de Liverpool S.A.B. de C.V., la
realizó únicamente a la Comisión de la Bolsa Mexicana de Valores, lo que indica que
incumplió con la obligación de notificar la vulneración a los titulares de los datos
personales – obligación establecida en la Ley Federal de Protección de Datos Personales
en Posesión de Particulares (“LFPDPPP”) – e informar la naturaleza del incidente, los
datos personales comprometidos, las recomendaciones al titular acerca de las medidas
que éste pueda adoptar para proteger sus intereses, las acciones correctivas realizadas
de forma inmediata y los medios donde puede obtener más información al respecto. Por
ello, la notificación que hizo El Puerto de Liverpool S.A.B. de C.V. careció de todos los
requisitos establecidos por la LFPDPPP.
Las vulneraciones de datos personales se presentan en México pero también en diversos
lugares del mundo. Estos hechos son reportados por varios sitios en Internet. Uno de
estos es http://www.informationisbeautiful.net que permite visualizar el tamaño de estos
incidentes.
10 SonTusDatos. INAI: Liverpool violó Ley de protección de datos por no tener medidas de seguridad adecuadas. [En línea]. Disponible en: http://sontusdatos.org/2016/09/13/inai_liverpool_violo_ley_de_proteccion_de_datos.
14
Encuesta sobre políticas de notificación de vulneraciones de datos personales en el sector privado.
Licencia CC 4.0
Las más grandes vulneraciones de datos en el mundo. Fuente: informationisbeautiful.net. 11
Otros informes, como el elaborado por la empresa Eleven Paths, – Las grandes fugas de
información del primer cuatrimestre de 201612 – señalan que, durante el año 2015, se
han confirmado grandes fugas de información, lo que indica un auge en las vulneraciones
de datos personales. El reporte de Eleven Paths muestra que, durante los primeros
cuatro meses del 2016, el volumen de registros de usuarios potencialmente expuestos
en el mundo habría superado los 330 millones.13
El propio equipo de analistas de Eleven Paths concluyó que la mayor parte de las
[vulneraciones] identificad[a]s, fueron realizadas con fines criminales porque los datos
11 World's Biggest Data Breaches. [En línea]. Disponible en:
http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks 12 Eleven Paths. Las grandes fugas de información del primer cuatrimestre de 2016. [En línea]. Disponible en: https://www.elevenpaths.com/wp-content/uploads/2016/06/Breaches_2016_T1_ES_v1_0.pdf. 13 Eleven Paths. [En línea]. Disponible en: https://www.elevenpaths.com/es/nuevo-informe-sobre-las-grandes-fugas-de-informacion-del-primer-cuatrimestre-de-2016/index.html#.
15
Artículo 12, A.C. https://www.sontusdatos.org
personales vulnerados, fueron puestos a la venta o fueron expuestos de manera pública
después de una extorsión.14
Las violaciones de datos a gran escala afectan a millones de usuarios. Número de registros comprometidos en recientes vulneraciones de datos. Fuente: https://infographic.statista.com/normal/chartoftheday_2540_data_breaches_n.jpg
14 Eleven Paths. [En línea]. Disponible en: https://www.elevenpaths.com/es/nuevo-informe-sobre-las-grandes-fugas-de-informacion-del-primer-cuatrimestre-de-2016/index.html#.
Motivación de los ataques perpetrados en el primer cuatrimestre de 2016. Cibercrimen, Ciber
guerra; Hacktivismo; Otros; No claro. Fuente: Eleven Paths.
16
Encuesta sobre políticas de notificación de vulneraciones de datos personales en el sector privado.
Licencia CC 4.0
Varias entidades dedicadas a la investigación de vulneraciones como Eleven Paths,
confirmaron que en México, durante los primeros cuatro meses del año 2016 (enero,
febrero, marzo y abril), existieron vulneraciones de datos personales que afectaron el
sector gubernamental.15
A continuación se muestra un gráfico comparando los países afectados por vulneraciones,
incluyendo México, en relación a las vulneraciones ocurridas a nivel mundial, el tipo de
sector afectado y las razones posibles por las que se ejecutaron las vulneraciones.
15 SonTusDatos. 93.4 millones de registros de votantes mexicanos expuestos en Internet por Movimiento Ciudadano. [En línea]. Disponible en: https://sontusdatos.org/2016/04/28/93_4_millones_de-registros_de_votantes_mexicanos_expuestos_en_internet_por_movimiento_ciudadano.
17
Artículo 12, A.C. https://www.sontusdatos.org
Incidentes consumados durante el primer cuatrimestre de 2016 agrupados por sector, país y motivación. Fuente: Eleven Paths. Las grandes fugas de información del primer cuatrimestre de 2016.
18
Encuesta sobre políticas de notificación de vulneraciones de datos personales en el sector privado.
Licencia CC 4.0
Las vulneraciones de datos personales y su
impacto
De acuerdo con el estudio “Actitudes del consumidor sobre notificaciones de vulneración
de datos y perdida de información personal” (Consumer Attitudes Toward Data Breach
Notifications and Loss of Personal Information, o “el estudio Consumer Attitudes”), se
estima que en los Estados Unidos 105 millones de adultos (43% de la población adulta
en 201416) en su vida han recibido al menos una notificación de vulneración en su vida.
Dentro de los 12 meses anteriores al estudio Consumer Attitudes (junio 2014 a junio
2015), se estima que 64 millones de adultos estadounidenses recibieron una notificación
de vulneración y 36 millones recibieron dos o más notificaciones.
Las conclusiones del estudio Consumer Attitudes indican que es cada vez más común17:
1. Ser víctima de vulneraciones de datos personales;
2. Ser víctima en múltiples vulneraciones de datos personales;
3. La dependencia que los diferentes sectores de la economía (financiero, salud,
ventas al por menor, entre otros) tienen de la tecnología; y
4. La facilidad para adquirir herramientas (software o hardware) para vulnerar datos
personales.
Afectaciones a los titulares
Una de las principales afectaciones en las vulneraciones de datos personales es el robo
de identidad, entendido como la apropiación de la identidad de una persona, para hacerse
16 Tomando como base la población adulta de Estados Unidos 245.2 millones de personas, en el año 2014. 17 Ablon, Libicki, and Golay. Consumer Attitudes Toward Data Breach Notifications and Loss of Personal Information. Estados Unidos de Norte América. Año 2015.
19
Artículo 12, A.C. https://www.sontusdatos.org
pasar por ella, asumir su identidad frente a terceros públicos o privados, a fin de obtener
ciertos recursos o beneficios a su nombre18.
Porcentaje de personas preocupadas por convertirse en víctimas de un robo de identidad19. Fuente: Ponemon - The Aftermath
of a Data Breach: Consumer Sentiment. 2014.
De acuerdo con el censo de Estados Unidos de 2010 (Nationwide Survey), 8.1 millones
de Estadounidenses fueron víctimas de robo de identidad. En la misma encuesta se
estima que el costo total por robo de identidad en ese país es de 37 billones de dólares
(USD) y que las victimas gastan en promedio 631 USD (+/- 13,300 pesos mexicanos) e
invierten más de 33 horas para resolver un problema de historial crediticio.20
18 Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales - INAI.
Guía para prevenir el robo de identidad. [En línea]. Disponible en: http://inicio.inai.org.mx/nuevo/Guia%20Robo%20Identidad.pdf. 19 Ser una víctima de una vulneración de datos personales incrementa las probabilidades de ser víctima de un robo de identidad. El 24% de las víctimas de robo de información personal, declararon que desde antes
del robo, estaban extremadamente o muy preocupadas en ser víctimas de un robo de identidad. Como se muestra en la Figura 7. Después de la violación de datos. Esta preocupación aumentó significativamente
al 45%. El 48% de los encuestados dijo que su identidad estaría en riesgo durante años o para siempre. 20 Office of Privacy Protection of California. Recommended Practices on Notice of Security Breach Involving Personal Information. [En línea]. Disponible en:
https://oag.ca.gov/sites/all/files/agweb/pdfs/privacy/recom_breach_prac.pdf.
20
Encuesta sobre políticas de notificación de vulneraciones de datos personales en el sector privado.
Licencia CC 4.0
Otras afectaciones que pueden sufrir los titulares afectados por una vulneración de sus
datos personales son:
Afectaciones en el patrimonio de la víctima por robo de dinero, contratación de
créditos, servicios o compras no autorizadas;
Afectaciones en su ámbito social y moral, como el daño en su imagen pública y
reputación, por la publicación de contenido privado o íntimo;
Negación de un empleo u oportunidades por acciones que no cometieron;
Secuestros, extorsiones;
Hackeo de cuentas para robar más información como fotos, vídeos, entre otros.
Afectaciones a las empresas responsables
Las afectaciones a las empresas responsables del tratamiento que sufren una vulneración
de datos personales son:
Sanciones económicas: las sanciones económicas pueden originarse por la
investigación de los hechos por parte de la autoridad encargada de la protección
de datos, la cual, en México, es el Instituto Nacional de Acceso a la Información y
Protección de Datos Personales (INAI). Adicionalmente las sanciones económicas
también pueden originarse por incumplir otras regulaciones o leyes como la Ley
del Mercado de Valores;
Gasto en remediar las afectaciones originadas por la vulneración;
Afectación en la imagen pública o reputación de la empresa;
Revelación de información confidencial.
21
Artículo 12, A.C. https://www.sontusdatos.org
Encuesta sobre
Políticas de notificación de
vulneraciones de datos
personales en el sector
privado
22
Encuesta sobre políticas de notificación de vulneraciones de datos personales en el sector privado.
Licencia CC 4.0
Metodología
Cuestionario 4 preguntas de opción múltiple.
Universo
49 empresas seleccionadas para participar;
7 sectores diferentes de la industria;
7 empresas por sector.
Diseño muestral
Que las empresas seleccionadas fueran importantes21
en su sector;
Que el tratamiento de datos personales sea
relevante, tomando en consideración el número de
datos que manejan de titulares, categorías de datos
personales, finalidades principales (necesarias para
tratar datos personales) y, en particular, accesorias
(finalidades que no son necesarias, por ejemplo fines
publicitarios); y
Que la Ley Federal de Protección de Datos
Personales en Posesión de los Particulares y su
Reglamento aplique a las empresas seleccionadas.22
21 Explicamos la selección del criterio en la sub-sección 4 de este reporte. 22 El reglamento es aplicable a personas físicas o morales cuando el tratamiento:
I. Sea efectuado en un establecimiento del responsable ubicado en territorio mexicano; II. Sea efectuado por un encargado con independencia de su ubicación, a nombre de un responsable
establecido en territorio mexicano;
III. El responsable no esté establecido en territorio mexicano pero le resulte aplicable la legislación mexicana, derivado de la celebración de un contrato o en términos del derecho internacional; y
IV. El responsable no esté establecido en territorio mexicano y utilice medios situados en dicho territorio, salvo que tales medios se utilicen únicamente con fines de tránsito que no impliquen un tratamiento. Para
1
23
Artículo 12, A.C. https://www.sontusdatos.org
Población objetivo
para obtener las
respuestas
El responsable del departamento de protección de
datos personales o el personal calificado para
responder el cuestionario en nombre de su empresa;
Proceso de
levantamiento
Levantamiento del cuestionario de manera
electrónica.
Periodo de
levantamiento de la
información
Entre el 4 y el 21 de octubre de 2016.
Objetivos de la encuesta
Evaluar las políticas de notificación de vulneraciones de datos personales de una
selección de grandes empresas en México en su estatus de responsables del
tratamiento, incluyendo:
o El uso de medidas de seguridad para evitar, disminuir o mitigar cualquier
tipo de vulneración;
o El uso de protocolos operativos dentro de la empresa para detectar y
prevenir la fuga de datos personales por negligencia o acciones mal
intencionadas; y
o Cómo las empresas cumplen con la ley para notificar a sus usuarios,
clientes, empleados o contratistas (personas físicas) que han sido afectados
por una vulneración de sus datos personales.
efectos de esta fracción, el responsable deberá proveer los medios que resulten necesarios para el efectivo cumplimiento de las obligaciones impuestas por la LFPDPPP y su Reglamento.
2
24
Encuesta sobre políticas de notificación de vulneraciones de datos personales en el sector privado.
Licencia CC 4.0
Evaluar el conocimiento que tienen las empresas de la existencia de la obligación
legal de proteger a los titulares de datos personales ante vulneraciones; y
Generar consciencia en las empresas de que es necesario contar con medidas
preventivas y de respuesta a incidentes, en particular de notificación de las
vulneraciones de datos personales.
Etapas de la encuesta
La encuesta constó de seis etapas:
1. Selección de empresas a estudiar;
2. Diseño de la encuesta y selección de elementos a calificar en evaluación
cualitativa y cuantitativa;
3. Evaluación cualitativa de las empresas;
4. Encuesta;
5. Análisis de los resultados de la encuesta con evaluación cuantitativa;
6. Diseminación de los resultados.
Etapa 1: Selección de siete empresas representativas en siete sectores
económicos.
Etapa 2: Diseño de la encuesta: redacción de las preguntas que se
aplicarán a cada empresa.
Etapa 3: Para cada empresa, se evaluaron aspectos relativos a la
protección de datos, por ejemplo si el sitio de Internet hace
alguna mención sobre la prevención de vulneraciones de datos
personales y su notificación a titulares de esos datos.
Etapa 4: Aplicación de una encuesta de opción múltiple para conocer
acerca de las prácticas de esas empresas en materia de
3
25
Artículo 12, A.C. https://www.sontusdatos.org
detección de vulneraciones de datos personales, respuestas a
incidentes y notificación de esas vulneraciones.
Etapa 5: Análisis de los datos obtenidos durante las etapas 3 y 4;
realización del reporte final.
Etapa 6: Publicación del reporte final de la encuesta y diseminación.
Empresas seleccionadas para la encuesta
Las empresas encuestadas pertenecen a sectores económicamente relevantes – medido
por medio de la aportación al producto interno bruto (PIB) – para la economía de México,
o bien pertenecen a algún sector de interés común (e.g., telecomunicaciones).
La selección de empresas fue en base a:
Que las empresas seleccionadas fueran importantes en su sector;
Que el tratamiento de datos personales sea relevante, tomando en consideración:
el número de datos que manejan de titulares, categorías de datos personales,
finalidades principales y, en particular, accesorias; y
Que la Ley Federal de Protección de Datos Personales en Posesión de los
Particulares y su Reglamento se apliquen a ellas.
En total se seleccionaron 49 empresas. 7 empresas por 7 sectores diferentes de la
economía mexicana:
1. Comercio de medicamentos;
2. Comercio al por menor de mercancías;
3. Transportes, correos y almacenamiento;
4. Servicios financieros;
5. Servicios educativos;
6. Servicios de salud; y
4
26
Encuesta sobre políticas de notificación de vulneraciones de datos personales en el sector privado.
Licencia CC 4.0
7. Telecomunicaciones.
# Sector Marca Razón social
1 Comercio de
medicamentos
Farmacias del Ahorro Comercializadora Farmacéutica de
Chiapas, S.A.P.I. de C.V.
2 Comercio de
medicamentos
Farmacias Similares Farmacias de Similares, S.A. de C.V.
3 Comercio de
medicamentos
Farmacias Benavides Farmacias Benavides, S.A.B. de C.V.
4 Comercio de
medicamentos
Farmacon FarmaCón, S.A. de C.V.
5 Comercio de
medicamentos
Farmacias Guadalajara Farmacia Guadalajara, S.A. de C.V.
6 Comercio de
medicamentos
Farmacias
Especializadas
Fármacos Especializados, S.A de C.V.
7 Comercio de
medicamentos
Farmacias Purex Farmacias la Cadena, S.A de C.V.
8 Comercio al por menor
de mercancías
Walmart de México Nueva Wal-Mart de México, S. de R.L.
de C.V.
9 Comercio al por menor
de mercancías
Liverpool Distribuidora Liverpool, S.A. de C.V.
7 sectores
7 empresas por sector
Un total de 49 empresas seleccionadas
Development : Domain Name, Hosting, SEO, Social
27
Artículo 12, A.C. https://www.sontusdatos.org
10 Comercio al por menor
de mercancías
FEMSA Comercio (Oxxo) Fomento Económico Mexicano, S.A.B.
de C.V.
11 Comercio al por menor
de mercancías
Coppel Grupo Coppel, S.A. de C.V.
12 Comercio al por menor
de mercancías
Chedraui Tiendas Chedraui, S.A. de C.V.
13 Comercio al por menor
de mercancías
Soriana Tiendas Soriana, S.A. de C.V.
14 Comercio al por menor
de mercancías
Sanborns Sanborn Hermanos, S.A.
15 Transportes, correos y
almacenamiento
Aeroméxico Aerovías de México, S.A. de C.V.
16 Transportes, correos y
almacenamiento
Interjet ABC Aerolíneas, S.A de C.V.; Atento
México Holdco S. de R.L. de C.V.
17 Transportes, correos y
almacenamiento
Volaris Concesionaria Vuela Compañía de
Aviación, S.A.P.I. de C.V.
18 Transportes, correos y
almacenamiento
ADO ADO y Empresas Coordinadas, S.A. de
C.V.
19 Transportes, correos y
almacenamiento
Estrella Blanca Autobuses Estrella Blanca, S.A. de
C.V.
20 Transportes, correos y
almacenamiento
Fedex México Federal Express Holdings México y
Compañía, S.N.C. de C.V.; FedEx de
México S. de R.L. de C.V.
28
Encuesta sobre políticas de notificación de vulneraciones de datos personales en el sector privado.
Licencia CC 4.0
21 Transportes, correos y
almacenamiento
ETN ETN Turistar Lujo, S.A. de C.V.
22 Servicios financieros BBVA Bancomer BBVA Bancomer, Sociedad Anónima,
Institución de Banca Múltiple, Grupo
Financiero BBVA Bancomer
23 Servicios financieros Banamex Banco Nacional de México, S.A.,
integrante del Grupo Financiero
Banamex
24 Servicios financieros Banorte Banco Mercantil del Norte, S.A.,
Institución de Banca Múltiple Grupo
Financiero Banorte
25 Servicios financieros Santander México Banco Santander (México), S.A.,
Institución de Banca Múltiple, Grupo
Financiero Santander México
26 Servicios financieros HSBC HSBC México, S.A., Institución de
Banca Múltiple, Grupo Financiero
HSBC
27 Servicios financieros Scotiabank Scotiabank Inverlat, S.A. Institución
de Banca Múltiple, Grupo Financiero
Scotiabank Inverlat
28 Servicios financieros American Express American Express Bank (México),
S.A., Institución de Banca Múltiple
29 Servicios educativos ITESM - Tec de
Monterrey
Enseñanza e Investigación Superior,
A.C.
30 Servicios educativos UDLAP Fundación Universidad de las
Américas, Puebla (Campus Puebla)
29
Artículo 12, A.C. https://www.sontusdatos.org
31 Servicios educativos UIA - Universidad
Iberoamericana
Universidad Iberoamericana, A. C.
32 Servicios educativos UVM - Universidad del
Valle de México
Universidad Del Valle De México, S.C.
33 Servicios educativos UDEM - Universidad de
Monterrey
Universidad de Monterrey
34 Servicios educativos UP - Universidad
Panamericana
Centros Culturales de México, A.C.
35 Servicios educativos UA - Universidad
Anáhuac
Investigaciones y Estudios
Superiores, S.C.
36 Servicios de salud Christus Muguerza Christus Muguerza, S.A.P.I. de C.V.,
Christus Muguerza Sistemas
Hospitalarios, S.A. de C.V.; Christus
Muguerza del Parque, S.A. de C.V.
37 Servicios de salud Hospital San José Fundación Santos y de la Garza Evia
I.B.P.
38 Servicios de salud Médica Sur Médica Sur, S.A.B. de C.V.
39 Servicios de salud Centro Médico Puerta
de Hierro
Hospital de Especialidades Puerta de
Hierro, S.A. DE C.V.
40 Servicios de salud Hospital Ángeles Operadora de Hospitales Ángeles,
S.A. de C.V. , Centro de Diagnóstico
Ángeles; S.A. de C.V. y Laboratorios
Biomédicos, S.A. de C.V.
41 Servicios de salud Centro Médico ABC The American British Cowdray Medical
Center, I.A.P.
42 Servicios de salud Star Médica Star Médica, S.A. de C.V.
30
Encuesta sobre políticas de notificación de vulneraciones de datos personales en el sector privado.
Licencia CC 4.0
43 Telecomunicaciones Telcel Radiomóvil Dipsa, S.A. de C.V.
44 Telecomunicaciones AT&T México AT&T Comunicaciones Digitales, S. de
R.L. de C.V.
45 Telecomunicaciones Telefónica Movistar Pegaso PCS, S.A. de C.V.
46 Telecomunicaciones Telmex Teléfonos de México, S.A.B. de C.V.
47 Telecomunicaciones Megacable Megacable Holdings, S.A.B. de C.V.,
Mega Cable, S.A. de C.V.
48 Telecomunicaciones Axtel Axtel, S.A.B., de C.V.
49 Telecomunicaciones Izzi Telecom Cablevisión S.A. de C.V., Servicios
Telum, S.A. de C.V.,
Telecomunicaciones de Norte, S.A. de
C.V., Comunicable S.A. de C.V.,
Televisión Internacional, S.A. de C.V.,
Cablemás Telecomunicaciones S.A.
de C.V., Cable y Comunicación de
Campeche S.A. de C.V., Alvafig S.A.
de C.V. y Cablevisión Red, S.A. de
C.V.
Preguntas que componen la encuesta
La encuesta incluía 4 preguntas, con respuestas de opción múltiple.
5
31
Artículo 12, A.C. https://www.sontusdatos.org
1. ¿La empresa ha implementado un sistema de seguridad de la
información (con medidas de seguridad físicas, técnicas y
administrativas) para prevenir vulneraciones de los datos personales
que recaba?
a. Sí, la empresa cuenta con un sistema de seguridad de la información
operando.
b. Tenemos un buen avance en la implementación de ese sistema de
seguridad.
c. El tema ya está planeado y empezamos a implementarlo.
d. Es un tema de interés en el cual se ha pensado trabajar.
2. ¿La empresa cuenta con al menos un elemento (por ejemplo, control de
acceso a bases de datos, un equipo de personas que atienda incidente,
sistemas de detección de intrusos, antivirus, procedimientos para
auditoria de bitácoras) que le permita detectar vulneraciones de datos
personales?
a. Sí, tenemos varios elementos implementados y operando.
b. Tenemos un elemento implementado y operando.
c. Tenemos planes y el presupuesto autorizado para implementar al menos
un elemento.
d. Aún no.
3. ¿La empresa cuenta con procedimientos y personal para llevar a cabo
notificaciones de vulneración de datos?
a. Sí, contamos con varios procedimientos probados y personal capacitado.
b. Contamos con un procedimiento implementado y al menos una persona.
c. Tenemos planes y presupuesto autorizado para contar con procedimientos
y personal.
d. Todavía no.
32
Encuesta sobre políticas de notificación de vulneraciones de datos personales en el sector privado.
Licencia CC 4.0
4. En caso de una vulneración de datos personales, ¿la empresa notificaría
a las personas cuyos datos han sido vulnerados?
a. Sí, siempre.
b. Sí, en la mayoría de los casos.
c. Generalmente no lo haríamos, salvo en casos críticos.
d. No sería necesario hacerlo porque lo corregiríamos inmediatamente.
Evaluación
La evaluación de cada empresa y asignación de resultado, es realizada a partir de la
suma de los porcentajes obtenidos de acuerdo con la siguiente tabla23:
1. ¿La empresa ha implementado un sistema de seguridad de la información
(con medidas de seguridad físicas, técnicas y administrativas) para prevenir
vulneraciones de los datos personales que recaba?
a. Sí, la empresa cuenta con un sistema de seguridad de
la información operando.
25.00%
b. Tenemos un buen avance en la implementación de ese
sistema de seguridad.
18.75%
c. El tema ya está planeado y empezamos a
implementarlo.
12.50%
d. Es un tema de interés en el cual se ha pensado trabajar. 6.25%
23 Las empresas recibieron únicamente las preguntas con las opciones de respuestas, pero sin asignación de porcentaje a cada respuesta.
6
33
Artículo 12, A.C. https://www.sontusdatos.org
2. ¿La empresa cuenta con al menos un elemento (por ejemplo, control de
acceso a bases de datos, un equipo de personas que atienda incidente,
sistemas de detección de intrusos, antivirus, procedimientos para auditoria
de bitácoras) que le permita detectar vulneraciones de datos personales?
a. Sí, tenemos varios elementos implementados y
operando.
25.00%
b. Tenemos un elemento implementado y operando. 18.75%
c. Tenemos planes y el presupuesto autorizado para
implementar al menos un elemento.
12.50%
d. Aún no. 6.25%
3. ¿La empresa cuenta con procedimientos y personal para llevar a cabo
notificaciones de vulneración de datos?
a. Sí, contamos con varios procedimientos probados y
personal capacitado.
25.00%
b. Contamos con un procedimiento implementado y al
menos una persona.
18.75%
c. Tenemos planes y presupuesto autorizado para contar
con procedimientos y personal.
12.50%
d. Todavía no. 6.25%
4. En caso de una vulneración de datos personales, ¿la empresa notificaría a
las personas cuyos datos han sido vulnerados?
a. Sí, siempre. 25.00%
b. Sí, en la mayoría de los casos. 18.75%
c. Generalmente no lo haríamos, salvo en casos críticos. 12.50%
d. No sería necesario hacerlo porque lo corregiríamos
inmediatamente.
6.25%
34
Encuesta sobre políticas de notificación de vulneraciones de datos personales en el sector privado.
Licencia CC 4.0
La representación de los resultados obtenidos por las empresas, es realizada través del
llenado de un candado conforme al porcentaje obtenido.
Ejemplo:
0%
(sin respuestas para
una evaluación)
25%
50%
75%
100%
35
Artículo 12, A.C. https://www.sontusdatos.org
Análisis cuantitativo
Los resultados del análisis cuantitativo están basados en las
respuestas de las empresas a las 4 preguntas que conforman la
encuesta.
36
Encuesta sobre políticas de notificación de vulneraciones de datos personales en el sector privado.
Licencia CC 4.0
Las 49 empresas seleccionadas para la encuesta cuentan al menos con un aviso de
privacidad, publicado en sus respectivos sitios web.
Sólo ocho empresas, de una muestra total de 49, contestaron la encuesta (cierre a las
15:00 horas del 21 de octubre de 2016). Es decir, únicamente el 16.32% del total de
empresas seleccionadas contestó la encuesta.
Las empresas que la contestaron
fueron:
Farmacias del Ahorro
Farmacias Especializadas
Coppel
ETN
Scotiabank
Universidad de Monterrey
Telcel
AT&T
El número de intentos antes de
encontrar al representante adecuado,
líder del departamento u oficial de
protección de datos personales, estuvo
en el rango de entre uno y ocho
intentos.
16.32%
83.68%
Encuestas contestadas
Encuestas no contestadas
1
3
8
0 2 4 6 8 10
Mínimo
Promedio
Máximo
37
Artículo 12, A.C. https://www.sontusdatos.org
Los sectores “Telecomunicaciones” y “Comercio al por menor en medicamentos”
destacan al obtenerse respuestas de dos empresas por sector. En los sectores “Servicios
educativos”, “Transportes, correos y almacenamiento”, “Comercio al por menor de
mercancías”, y “Servicios Financieros” obtuvieron respuestas de una empresa por sector.
En tanto que no se obtuvo ninguna respuesta de ninguna empresa del sector “Servicios
de Salud”.
38
Encuesta sobre políticas de notificación de vulneraciones de datos personales en el sector privado.
Licencia CC 4.0
PREGUNTA No. 1: ¿La empresa ha implementado
un sistema de seguridad de la información (con
medidas de seguridad físicas, técnicas y
administrativas) para prevenir vulneraciones de los
datos personales que recaba?
Siete de las ocho empresas tienen implementado un sistema de seguridad de la
información consolidado que incluye medidas de seguridad físicas, técnicas y
administrativas para prevenir vulneraciones de los datos personales. La Universidad de
Monterrey (UDEM) es la única que no tiene un sistema consolidado pero posee una
planeación al respecto y ha comenzado a implantarlo.
7
1
0 1 2 3 4 5 6 7 8
Sí, la empresa cuenta con unsistema de seguridad de lainformación operando
El tema ya está planeado yempezamos a implementarlo
39
Artículo 12, A.C. https://www.sontusdatos.org
PREGUNTA No. 2: ¿La empresa cuenta con al
menos un elemento (por ejemplo, un control de
acceso a bases de datos, un equipo de personas que
atienda incidentes, un sistema de detección de
intrusos, una herramienta antivirus o procedimientos
para auditoría de bitácoras) que le permita detectar
vulneraciones de datos personales?
El equivalente al 87.5% de las empresas que contestaron la encuesta cuentan con más
de un elemento que le permita detectar vulneraciones de datos personales. Entre estos
elementos, podemos incluir un mecanismo de control de acceso a bases de datos, un
equipo de personas que atienda incidentes, sistemas de detección de intrusos, antivirus
y procedimientos para auditoría de bitácoras, entre otros.
El 12.5% restante tiene sólo un elemento que permite descubrir vulneraciones de datos.
Este 12.5% está representado por la Universidad de Monterrey (UDEM).
87.50%
12.50%Sí, tenemos varioselementosimplementados yoperando
Tenemos unelementoimplementado yoperando
40
Encuesta sobre políticas de notificación de vulneraciones de datos personales en el sector privado.
Licencia CC 4.0
PREGUNTA No. 3: ¿La empresa cuenta con
procedimientos y personal para llevar a cabo la
notificación de vulneración de datos?
Todas las empresas señalan tener al menos un procedimiento y personal para llevar a
cabo la notificación de vulneración de datos.
5 empresas aseguran tener más de un procedimiento y más de una persona
encargada de la notificación de vulneración de datos.
3 empresas señalan tener sólo un procedimiento y al menos una persona
encargada de dicha labor. Estas dos últimas empresas son Transportes
ETN, la Universidad de Monterrey (UDEM) y Scotiabank.
En los avisos de privacidad de las 49 empresas, 24 indican contar con un departamento
u oficial encargado de la protección de datos personales. Sin embargo 25 empresas no
lo indican.
62.50%
37.50%
0.00%
10.00%
20.00%
30.00%
40.00%
50.00%
60.00%
70.00%
Sí, contamos con variosprocedimientos probados ypersonal capacitado.
Contamos con un procedimientoimplementado y al menos unapersona
41
Artículo 12, A.C. https://www.sontusdatos.org
PREGUNTA No. 4: En caso de una vulneración de
datos personales, ¿la empresa notificaría a las
personas cuyos datos han sido vulnerados?
En el caso de notificación de vulneración de datos personales 6 empresas señalaron que
siempre avisarían a los propietarios de los datos vulnerados, mientras que 1 empresa, la
Universidad de Monterrey (UDEM), notificaría sólo en casos críticos. Asimismo,
Transportes ETN apuntó que no sería necesario, pues se corregiría inmediatamente la
vulneración.
En los avisos de privacidad de las 49 empresas seleccionadas, ninguna empresa informa
que notificará las vulneraciones, ni los medios a través de los cuales lo hará.
75% 12.50% 12.50%
Sí, siempre
Generalmente no lo haríamos, salvo en casos críticos
No sería necesario hacerlo porque lo corregiríamos inmediatamente
42
Encuesta sobre políticas de notificación de vulneraciones de datos personales en el sector privado.
Licencia CC 4.0
Empresas Destacadas
La categorización de “Empresas destacadas” es otorgada en base a los siguientes
criterios:
La empresa respondió en tiempo y forma las preguntas de la encuesta;
La empresa obtuvo más del 50% en su evaluación.
43
Artículo 12, A.C. https://www.sontusdatos.org
Evaluación
Total 100%
Marca distintiva
Sector: Comercio de medicamentos
Nombre de la persona moral: Comercializadora Farmacéutica de Chiapas, S.A.P.I. de C.V.
Razonamiento:
¿La empresa ha implementado un
sistema de seguridad de la información
(con medidas de seguridad físicas,
técnicas y administrativas) para prevenir
vulneraciones de los datos personales
que recaba?
Sí, la empresa cuenta con un sistema de
seguridad de la información operando. 25%
¿La empresa cuenta con al menos un
elemento (por ejemplo, control de acceso
a bases de datos, un equipo de personas
que atienda incidentes, sistemas de
detección de intrusos, antivirus,
procedimientos para auditoría de
bitácoras) que le permita detectar
vulneraciones de datos personales?
Sí, tenemos varios elementos
implementados y operando. 25%
¿La empresa cuenta con procedimientos
y personal para llevar a cabo la
notificación de vulneración de datos?
Sí, contamos con varios procedimientos
probados y personal capacitado. 25%
En caso de una vulneración de datos
personales, ¿la empresa notificaría a las
personas cuyos datos han sido
vulnerados?
Sí, siempre. 25%
Total 100%
44
Encuesta sobre políticas de notificación de vulneraciones de datos personales en el sector privado.
Licencia CC 4.0
Evaluación
Total 100%
Marca distintiva
Sector: Comercio de medicamentos
Nombre de la persona moral: Fármacos Especializados, S.A de C.V.
Razonamiento:
¿La empresa ha implementado un
sistema de seguridad de la información
(con medidas de seguridad físicas,
técnicas y administrativas) para prevenir
vulneraciones de los datos personales
que recaba?
Sí, la empresa cuenta con un sistema de
seguridad de la información operando. 25%
¿La empresa cuenta con al menos un
elemento (por ejemplo, control de acceso
a bases de datos, un equipo de personas
que atienda incidentes, sistemas de
detección de intrusos, antivirus,
procedimientos para auditoría de
bitácoras) que le permita detectar
vulneraciones de datos personales?
Sí, tenemos varios elementos
implementados y operando. 25%
¿La empresa cuenta con procedimientos
y personal para llevar a cabo la
notificación de vulneración de datos?
Sí, contamos con varios procedimientos
probados y personal capacitado. 25%
En caso de una vulneración de datos
personales, ¿la empresa notificaría a las
personas cuyos datos han sido
vulnerados?
Sí, siempre. 25%
Total 100%
45
Artículo 12, A.C. https://www.sontusdatos.org
Evaluación
Total 100%
Marca distintiva
Sector Comercio al por menor de mercancías
Nombre de la persona moral: Grupo Coppel, S.A. de C.V.
Razonamiento:
¿La empresa ha implementado un
sistema de seguridad de la información
(con medidas de seguridad físicas,
técnicas y administrativas) para prevenir
vulneraciones de los datos personales
que recaba?
Sí, la empresa cuenta con un sistema de
seguridad de la información operando. 25%
¿La empresa cuenta con al menos un
elemento (por ejemplo, control de acceso
a bases de datos, un equipo de personas
que atienda incidentes, sistemas de
detección de intrusos, antivirus,
procedimientos para auditoría de
bitácoras) que le permita detectar
vulneraciones de datos personales?
Sí, tenemos varios elementos
implementados y operando. 25%
¿La empresa cuenta con procedimientos
y personal para llevar a cabo la
notificación de vulneración de datos?
Sí, contamos con varios procedimientos
probados y personal capacitado. 25%
En caso de una vulneración de datos
personales, ¿la empresa notificaría a las
personas cuyos datos han sido
vulnerados?
Sí, siempre. 25%
Total 100%
46
Encuesta sobre políticas de notificación de vulneraciones de datos personales en el sector privado.
Licencia CC 4.0
Evaluación
Total 75%
Total
Marca distintiva
Sector Transportes, correos y almacenamiento
Nombre de la persona moral: ETN Turistar Lujo, S.A. de C.V.
Razonamiento:
¿La empresa ha implementado un
sistema de seguridad de la información
(con medidas de seguridad físicas,
técnicas y administrativas) para prevenir
vulneraciones de los datos personales
que recaba?
Sí, la empresa cuenta con un sistema de
seguridad de la información operando. 25%
¿La empresa cuenta con al menos un
elemento (por ejemplo, control de acceso
a bases de datos, un equipo de personas
que atienda incidentes, sistemas de
detección de intrusos, antivirus,
procedimientos para auditoría de
bitácoras) que le permita detectar
vulneraciones de datos personales?
Sí, tenemos varios elementos
implementados y operando. 25%
¿La empresa cuenta con procedimientos
y personal para llevar a cabo la
notificación de vulneración de datos?
Contamos con un procedimiento
implementado y al menos una persona. 18.75%
En caso de una vulneración de datos
personales, ¿la empresa notificaría a las
personas cuyos datos han sido
vulnerados?
No sería necesario hacerlo porque lo
corregiríamos inmediatamente. 6.25%
Total 75%
47
Artículo 12, A.C. https://www.sontusdatos.org
Evaluación
Total 93.75%
Marca distintiva
Sector Servicios financieros
Nombre de la persona moral: Scotiabank Inverlat, S.A. Institución de Banca Múltiple,
Grupo Financiero Scotiabank Inverlat
Razonamiento:
¿La empresa ha implementado un sistema
de seguridad de la información (con
medidas de seguridad físicas, técnicas y
administrativas) para prevenir
vulneraciones de los datos personales que
recaba?
Sí, tenemos varios elementos
implementados y operando. 25%
¿La empresa cuenta con al menos un
elemento (por ejemplo, control de acceso
a bases de datos, un equipo de personas
que atienda incidentes, sistemas de
detección de intrusos, antivirus,
procedimientos para auditoría de
bitácoras) que le permita detectar
vulneraciones de datos personales?
Sí, tenemos varios elementos
implementados y operando. 25%
¿La empresa cuenta con procedimientos y
personal para llevar a cabo la notificación
de vulneración de datos?
Contamos con un procedimiento
implementado y al menos una persona. 18.75
En caso de una vulneración de datos
personales, ¿la empresa notificaría a las
personas cuyos datos han sido vulnerados?
Sí, siempre 25%
Total 93.75%
48
Encuesta sobre políticas de notificación de vulneraciones de datos personales en el sector privado.
Licencia CC 4.0
Evaluación
Total 62.5%
Marca distintiva
Sector Servicios educativos
Nombre de la persona moral: Universidad de Monterrey
Razonamiento:
¿La empresa ha implementado un
sistema de seguridad de la información
(con medidas de seguridad físicas,
técnicas y administrativas) para prevenir
vulneraciones de los datos personales
que recaba?
El tema ya está planeado y empezamos a
implementarlo. 12.50%
¿La empresa cuenta con al menos un
elemento (por ejemplo, control de acceso
a bases de datos, un equipo de personas
que atienda incidentes, sistemas de
detección de intrusos, antivirus,
procedimientos para auditoría de
bitácoras) que le permita detectar
vulneraciones de datos personales?
Tenemos un elemento implementado y
operando. 18.75%
¿La empresa cuenta con procedimientos
y personal para llevar a cabo la
notificación de vulneración de datos?
Contamos con un procedimiento
implementado y al menos una persona. 18.75%
En caso de una vulneración de datos
personales, ¿la empresa notificaría a las
personas cuyos datos han sido
vulnerados?
Generalmente no lo haríamos, salvo en
casos críticos. 12.50%
Total 62.5%
49
Artículo 12, A.C. https://www.sontusdatos.org
Evaluación
Total 100%
Marca distintiva
Sector Telecomunicaciones
Nombre de la persona moral: Radiomóvil Dipsa S.A. de C.V.
Razonamiento:
¿La empresa ha implementado un
sistema de seguridad de la información
(con medidas de seguridad físicas,
técnicas y administrativas) para prevenir
vulneraciones de los datos personales
que recaba?
Sí, la empresa cuenta con un sistema de
seguridad de la información operando. 25%
¿La empresa cuenta con al menos un
elemento (por ejemplo, control de acceso
a bases de datos, un equipo de personas
que atienda incidentes, sistemas de
detección de intrusos, antivirus,
procedimientos para auditoría de
bitácoras) que le permita detectar
vulneraciones de datos personales?
Sí, tenemos varios elementos
implementados y operando. 25%
¿La empresa cuenta con procedimientos
y personal para llevar a cabo la
notificación de vulneración de datos?
Sí, contamos con varios procedimientos
probados y personal capacitado. 25%
En caso de una vulneración de datos
personales, ¿la empresa notificaría a las
personas cuyos datos han sido
vulnerados?
Sí, siempre. 25%
Total 100%
50
Encuesta sobre políticas de notificación de vulneraciones de datos personales en el sector privado.
Licencia CC 4.0
Evaluación
Total 100%
Marca distintiva
Sector Telecomunicaciones
Nombre de la persona moral: AT&T Comunicaciones Digitales, S. De R.L. de C.V.
Razonamiento:
¿La empresa ha implementado un
sistema de seguridad de la información
(con medidas de seguridad físicas,
técnicas y administrativas) para prevenir
vulneraciones de los datos personales
que recaba?
Sí, la empresa cuenta con un sistema de
seguridad de la información operando. 25%
¿La empresa cuenta con al menos un
elemento (por ejemplo, control de acceso
a bases de datos, un equipo de personas
que atienda incidentes, sistemas de
detección de intrusos, antivirus,
procedimientos para auditoría de
bitácoras) que le permita detectar
vulneraciones de datos personales?
Sí, tenemos varios elementos
implementados y operando. 25%
¿La empresa cuenta con procedimientos
y personal para llevar a cabo la
notificación de vulneración de datos?
Sí, contamos con varios procedimientos
probados y personal capacitado. 25%
En caso de una vulneración de datos
personales, ¿la empresa notificaría a las
personas cuyos datos han sido
vulnerados?
Sí, siempre. 25%
Total 100%
51
Artículo 12, A.C. https://www.sontusdatos.org
A las siguientes empresas se les asignó un 0% en la evaluación, toda vez que no
obtuvimos sus respuestas a las preguntas de la encuesta.
0%
Sector Marca Razón social de la
persona moral
Comercio de
medicamentos
Farmacias Similares Farmacias de Similares, S.A. de C.V.
Comercio de
medicamentos
Farmacias Benavides Farmacias Benavides, S.A.B. de C.V.
Comercio de
medicamentos
Farmacon FarmaCón, S.A. de C.V.
Comercio de
medicamentos
Farmacias Guadalajara Farmacia Guadalajara, S.A. de C.V.
Comercio de
medicamentos
Farmacias Purex Farmacias la Cadena, S.A de C.V.
52
Encuesta sobre políticas de notificación de vulneraciones de datos personales en el sector privado.
Licencia CC 4.0
Comercio al por menor
de mercancías
Walmart de México Nueva Wal Mart de México, S. de R.L. de
C.V.
Comercio al por menor
de mercancías
Liverpool Distribuidora Liverpool, S.A. de C.V.
Comercio al por menor
de mercancías
FEMSA Comercio (Oxxo) Fomento Económico Mexicano, S.A.B. de
C.V.
Comercio al por menor
de mercancías
Chedraui Tiendas Chedraui, S.A. de C.V.
Comercio al por menor
de mercancías
Soriana Tiendas Soriana, S.A. de C.V.
Comercio al por menor
de mercancías
Sanborns Sanborn Hermanos, S.A.
Transportes, correos y
almacenamiento
Aeroméxico Aerovías de México, S.A. de C.V.
Transportes, correos y
almacenamiento
Interjet ABC Aerolíneas, S.A de C.V.; Atento México
Holdco S. de R.L. de C.V.
Transportes, correos y
almacenamiento
Volaris Concesionaria Vuela Compañía de Aviación,
S.A.P.I. de C.V.
Transportes, correos y
almacenamiento
ADO ADO y Empresas Coordinadas, S.A. de C.V.
Transportes, correos y
almacenamiento
Estrella Blanca Autobuses Estrella Blanca, S.A. de C.V.
Transportes, correos y
almacenamiento
Fedex México Federal Express Holdings México y
Compañía, S.N.C. de C.V.; FedEx de México
S. de R.L. de C.V.
53
Artículo 12, A.C. https://www.sontusdatos.org
Servicios financieros BBVA Bancomer BBVA Bancomer, Sociedad Anónima,
Institución de Banca Múltiple, Grupo
Financiero BBVA Bancomer
Servicios financieros Banamex Banco Nacional de México, S.A., integrante
del Grupo Financiero Banamex
Servicios financieros Banorte Banco Mercantil del Norte, S.A., Institución
de Banca Múltiple Grupo Financiero Banorte
Servicios financieros Santander México Banco Santander (México), S.A., Institución
de Banca Múltiple, Grupo Financiero
Santander México
Servicios financieros HSBC HSBC México, S.A., Institución de Banca
Múltiple, Grupo Financiero HSBC
Servicios financieros American Express American Express Bank (México), S.A.,
Institución de Banca Múltiple
Servicios educativos ITESM - Tec de
Monterrey
Enseñanza e Investigación Superior, A.C.
Servicios educativos UDLAP Fundación Universidad de las Américas,
Puebla (Campus Puebla)
Servicios educativos UIA - Universidad
Iberoamericana
Universidad Iberoamericana, A. C.
Servicios educativos UVM - Universidad del
Valle de México
Universidad Del Valle De México, S.C.
Servicios educativos UP - Universidad
Panamericana
Centros Culturales de México, A.C.
54
Encuesta sobre políticas de notificación de vulneraciones de datos personales en el sector privado.
Licencia CC 4.0
Servicios educativos UA - Universidad
Anáhuac
Investigaciones y Estudios Superiores, S.C.
Servicios de salud Christus Muguerza Christus Muguerza, S.A.P.I. de C.V., Christus
Muguerza Sistemas Hospitalarios, S.A. de
C.V.; Christus Muguerza del Parque, S.A. de
C.V.
Servicios de salud Hospital San José Fundación Santos y de la Garza Evia I.B.P.
Servicios de salud Médica Sur Médica Sur, S.A.B. de C.V.
Servicios de salud Centro Médico Puerta
de Hierro
Hospital de Especialidades Puerta de Hierro,
S.A. DE C.V.
Servicios de salud Hospital Ángeles Operadora de Hospitales Ángeles, S.A. de
C.V. , Centro de Diagnóstico Ángeles; S.A.
de C.V. y Laboratorios Biomédicos, S.A. de
C.V.
Servicios de salud Centro Médico ABC The American British Cowdray Medical
Center, I.A.P.
Servicios de salud Star Médica Star Médica, S.A. de C.V.
Telecomunicaciones Telefónica Movistar Pegaso PCS, S.A. de C.V.
Telecomunicaciones Telmex Teléfonos de México, S.A.B. de C.V.
Telecomunicaciones Megacable Megacable Holdings, S.A.B. de C.V., Mega
Cable, S.A. de C.V.
55
Artículo 12, A.C. https://www.sontusdatos.org
Telecomunicaciones Axtel Axtel, S.A.B., de C.V.
Telecomunicaciones Izzi Telecom Cablevisión S.A. de C.V., Servicios Telum,
S.A. de C.V., Telecomunicaciones de Norte,
S.A. de C.V., Comunicable S.A. de C.V.,
Televisión Internacional, S.A. de C.V.,
Cablemás Telecomunicaciones S.A. de C.V.,
Cable y Comunicación de Campeche S.A. de
C.V., Alvafig S.A. de C.V. y Cablevisión Red,
S.A. de C.V.
56
Encuesta sobre políticas de notificación de vulneraciones de datos personales en el sector privado.
Licencia CC 4.0
Consideraciones Finales
Los impactos de las vulneraciones de datos personales pueden afectar de forma
significativa los derechos patrimoniales o morales de los titulares de los datos personales.
También afectan a las empresas responsables del tratamiento porque deben enfrentar
procesos de investigación y de imposición de sanciones que podrán derivar en altas
multas económicas.
Aunque el 100% de las 49 empresas seleccionadas para participar en esta encuesta
presentan avisos de privacidad en medios accesibles como páginas de internet, e incluso
24 empresas indican tener un oficial o un departamento de protección de datos, en los
hechos es complejo lograr comunicarse con las personas encargadas de esa área, incluso
utilizando los datos de contacto mostrados en los avisos de privacidad publicados por las
propias empresas.
Las empresas muestran dar importancia a la protección de los datos personales en sus
medios de exposición pública como sitios web. Sin embargo, en los hechos, pocas son
las empresas que declaran tener personal asignado a la protección de datos y contar con
medidas que permitan prevenir o remediar una vulneración de datos personales.
¿Cómo explicar la baja participación a la encuesta?
Los resultados de participación en esta encuesta pueden deberse a diversos factores:
1. 24 de las 49 empresas seleccionadas para participar en la encuesta declaran en
sus avisos de privacidad contar con un oficial o departamento de protección de
datos personales.
57
Artículo 12, A.C. https://www.sontusdatos.org
2. 25 de las 49 empresas seleccionadas para participar en la encuesta omiten
declarar en sus avisos de privacidad contar con un oficial o departamento de
protección de datos personales.
3. En los hechos, varias de las empresas encuestadas carecen del personal o un
departamento destinado al tema de la protección de datos personales. O bien,
los roles son confusos. Carecer de personal destinado a la protección de datos
dificulta consultar con la persona responsable sobre la postura, prácticas y
respuestas a incidentes y notificaciones de vulneraciones de datos personales que
lleva a cabo la empresa.
4. Las prácticas relativas a la protección de datos al interior de las empresas son
pocas, nulas o deficientes y las empresas no quisieron exponerse, evitando
participar en la encuesta antes que mentir.
5. No existe una cultura de transparencia en las empresas para informar a los
titulares sobre sus prácticas de protección de datos, y con ello evitar, detectar y
remediar vulneraciones de datos personales.
Problemas detectados en las empresas en materia de protección de datos
personales durante el levantamiento de la encuesta.
Durante el envío de la encuesta y seguimiento de los resultados, obtuvimos información
adicional que no formó parte de esta encuesta pero es de suma importancia mencionarla,
ya que muestra notables carencias y problemas de las empresas en la protección de los
datos personales. Cabe mencionar que estas carencias y problemas pueden derivar en
posibles vulneraciones de datos personales.
58
Encuesta sobre políticas de notificación de vulneraciones de datos personales en el sector privado.
Licencia CC 4.0
De las 24 empresas que declaran en sus avisos de privacidad contar con un oficial
o departamento de datos personales, después de entablar comunicación con ellas,
registramos que:
o Una empresa del sector “comercio de medicamentos” tiene deshabilitados los
medios de contacto con su departamento de protección de datos;
o Una empresa del sector de “comercio al por menor de mercancías”, reconocía
contar con un departamento de protección de datos, pero carecía de un
registro de las personas que conforman el departamento de protección de
datos;
o Dos empresas del sector “servicios de salud” desconocían que declaraba contar
con un departamento de protección de datos personales, por lo que no cuentan
con un registro de quienes conforman el departamento, a pesar de indicarlo
en su aviso de privacidad;
o Una empresa del sector “servicios de salud”, reconocía contar con un
departamento, pero desconocía quienes lo conformaban;
o Una empresa del sector “servicios de salud” en una primera comunicación
declaró contar con un departamento de protección de datos, pero en una
segunda comunicación declaró que la información de contacto del
departamento era información reservada;
o Una empresa del sector “servicios de salud” tiene deshabilitados los medios de
contacto con su departamento de protección de datos;
Una empresa del sector de “transportes, correos y almacenamiento” confirmó
carecer de personal designado para la protección de los datos personales.
El sector de “servicios de salud” es el sector donde es más frecuente que las
empresas declaren desconocer a su oficial o departamento de protección de datos.
59
Artículo 12, A.C. https://www.sontusdatos.org
De las 25 empresas que no mencionan en sus avisos de privacidad contar con un
oficial o departamento de protección de datos, es notablemente más difícil
comunicarse con el personal responsable de la protección de datos.
A pesar que las 49 empresas seleccionadas para participar en esta encuesta
publican al menos un aviso de privacidad, la gran mayoría sonoriza avisos de
privacidad cortos vía telefónica al inicio de las llamadas entrantes a su número de
contacto público – en los hechos, 24 de las empresas (48.97%) cuentan con
personal capacitado para atender el tema de la protección de datos personales.
En varios casos las personas encargadas de la protección de los datos personales
desconocen quien administra la cuenta de correo electrónico que la empresa indica
en su aviso de privacidad para que los titulares de datos personales ejerzan los
ejercer derechos ARCO (acceso, rectificación, cancelación, oposición).
48 de las 49 empresas seleccionadas para la encuesta indican en sus avisos de
privacidad datos de contacto electrónico para que los titulares de los datos
personales ejerzan sus derechos ARCO (acceso, rectificación, cancelación,
oposición). Sin embargo, varios correos electrónicos están deshabilitados, lo que
genera que nunca se pueda entablar comunicación por el medio indicado por las
empresas.
Ejemplos de mensajes de devolución de correo en una empresa del sector de
comercio de medicamentos:
“Undeliverable: Protección de datos personales - Encuesta sobre
notificación de vulneraciones…”
“Your message wasn't delivered due to a permission or security
issue. It may have been rejected by a moderator, the address may
60
Encuesta sobre políticas de notificación de vulneraciones de datos personales en el sector privado.
Licencia CC 4.0
only accept e-mail from certain senders, or another restriction may
be preventing delivery.”
Ejemplos de mensajes de devolución de correo en una empresa del sector de
servicios de salud:
“Your message to __________________________ couldn't be
delivered.
_______________ wasn't found at _________________.”.
61
Artículo 12, A.C. https://www.sontusdatos.org
“Typically this error occurs because the recipient email address is
incorrect or doesn't exist at the destination domain.”
Ejemplo de mensaje de devolución de correo en una empresa del sector de
servicios de salud:
62
Encuesta sobre políticas de notificación de vulneraciones de datos personales en el sector privado.
Licencia CC 4.0
Recomendaciones
Derivado de los bajos resultados de aceptación de la encuesta, así como de las carencias
y problemas que detectamos en las empresas durante el levantamiento de la encuesta,
recomendamos que:
La sociedad civil organizada y el INAI fomenten en las empresas responsables de
tratamiento la cultura por la protección de los datos personales; hagan latente que
cumplir con la normativa en la materia trae consigo múltiples beneficios, aún en
los casos en que se ha sufrido una vulneración, porque notificarla a los afectados
demuestra que la empresa es transparente en su actuación hacia ellos y que
asume la responsabilidad por remediar los errores que propiciaron la vulneración.
La sociedad civil organizada y el INAI concienticen a las empresas sobre los riesgos
de las vulneraciones de datos personales y empoderen a los titulares de datos
personales (clientes, usuarios, empleados y proveedores, entre otros) para que
63
Artículo 12, A.C. https://www.sontusdatos.org
estos últimos exijan la debida protección de sus datos personales, así como la
adopción de mejores prácticas en el tratamiento de datos.
El INAI promueva certificaciones en materia de protección de datos personales
para que, de manera sencilla, los titulares de los datos personales conozcan que
las empresas cumplen con los principios y obligaciones de Ley Federal de
Protección de Datos Personales en Posesión de los Particulares (LFPDPPP).
El INAI verifique a través de los procedimientos de investigación24 y verificación25
qué medidas en materia de protección de datos personales las empresas han
adoptado en los hechos, para evitar que las empresas indiquen cumplir con los
principios y obligaciones de la LFPDPPP pero no destinen recursos (materiales y
humanos) para la protección de los datos personales.
Las empresas responsables del tratamiento participen de manera activa, abierta e
ininterrumpida con la sociedad civil, ya que esta colaboración permitirá aportar al
sector privado mejores prácticas en materia de protección de datos, además de
brindar a las empresas una mayor transparencia sobre el manejo correcto de los
datos personales que tratan.
Las empresas atiendan las recomendaciones, estudios, encuestas y proyectos que
son desarrollados en los sectores privado y público, con las finalidades de
24 El INAI tiene la facultad para iniciar de oficio el procedimiento investigación cuando se presuma de
manera fundada y motivada alguna violación a la Ley o su Reglamento, con fundamento en los artículos 5 y 52 de los Lineamientos de los Procedimientos de Protección de Derechos, de Investigación y Verificación,
y de Imposición de Sanciones publicados en el Diario Oficial de la Federación. Disponible en: http://www.dof.gob.mx/nota_detalle.php?codigo=5419449&fecha=09/12/2015 25 El INAI tiene la facultad para iniciar de oficio el procedimiento de verificación, cuando se presuma de manera fundada y motivada alguna violación a la Ley o su Reglamento, en términos de los artículos 39,
fracciones I y VI, 59 y 60 de la LFPDPPP, 129 del Reglamento de la LFPDPPP y 39, fracciones I, II, VII y
VIII del Reglamento Interior de INAI, publicado en el Diario Oficial de la Federación el 20 de febrero de 2014, así como en el artículo 5 de los Lineamientos de los Procedimientos de Protección de Derechos, de
Investigación y Verificación, y de Imposición de Sanciones publicados en el Diario Oficial de la Federación. Disponible en: http://www.dof.gob.mx/nota_detalle.php?codigo=5419449&fecha=09/12/2015.
64
Encuesta sobre políticas de notificación de vulneraciones de datos personales en el sector privado.
Licencia CC 4.0
contribuir a la protección de datos personales, así como a la prevención, detección
y remediación de los impactos de las vulneraciones de datos personales.
Algunos ejemplos son:
o La “Guía de buenas prácticas para el manejo de incidentes”26 (Good Practice
Guide for Incident Management) de la Agencia Europea de Seguridad de
Redes y de la Información (European Network and Information Security
Agency - ENISA);
o Las “Recomendaciones para una metodología de evaluación de la gravedad
de vulneraciones de datos”27 (Recommendations for a methodology of the
assessment of severity of personal data breaches) de la Agencia Europea
de Seguridad de Redes y de la Información (European Network and
Information Security Agency - ENISA);
o La “Lista de verificación ante vulneraciones de datos”28 (Data Breach
Response Checklist) del Departamento de Educación de los Estados Unidos
(U.S. Department of Education).
Las empresas, principalmente del sector de servicios de salud y financiero, deben
utilizar herramientas de cifrado en los dispositivos que usen para el tratamiento
de los datos, principalmente en dispositivos móviles como computadoras
personales, tabletas y teléfonos inteligentes, entre otros.
Los resultados obtenidos durante la realización de esta encuesta demuestran que es
necesario replantear la importancia de la protección de los datos personales por parte de
los responsables de tratamiento, principalmente en las prácticas que llevan a cabo las
empresas, para que cumplan en los hechos con la LFPDPPP y su Reglamento.
26 Disponible en: https://www.enisa.europa.eu/publications/good-practice-guide-for-incident-management. 27 Disponible en: https://www.enisa.europa.eu/publications/dbn-severity. 28 Disponible en: http://ptac.ed.gov/sites/default/files/checklist_data_breach_response_092012.pdf.
65
Artículo 12, A.C. https://www.sontusdatos.org
Esperamos contar con mayor participación de parte de las empresas en nuestra próxima
encuesta, así como obtener respuestas que muestren en ellas un mayor compromiso con
la protección de los datos personales y que esas empresas:
1. tienen el personal capacitado, tanto en la protección de los datos personales
como en la seguridad de la información que manejan;
2. han implementado los principios y políticas de protección de datos a los que
se refieren en sus avisos de privacidad;
3. han implementado sistemas para prevenir, detectar y remediar las
vulneraciones de los datos personales; y
4. cumplen en la práctica con su obligación de notificar vulneraciones de datos
personales a los titulares afectados.
66
Encuesta sobre políticas de notificación de vulneraciones de datos personales en el sector privado.
Licencia CC 4.0
¿Por qué es importante que las empresas
notifiquen sus vulneraciones de datos
personales?
Los responsables deben notificar una vulneración de datos personales a los titulares
afectados porque:
o Las empresas responsables del tratamiento de datos personales, al notificar una
vulneración de datos personales, demuestran ser transparentes, abiertas y
comprometidas con la seguridad de los datos personales.
o Permiten a los titulares:
Tomar las medidas necesarias para evitar daños, reales o potenciales, y
Minimizar el impacto posible de la vulneración.
De acuerdo a datos de la Consumer Attitudes Toward Data Breach Notifications and
Loss of Personal Information29 del 2016, ser transparentes con los titulares afectados
les brinda “tranquilidad” porque el responsable demuestra actuar para remediar las
afectaciones. En esa encuesta, el 77% de las personas respondieron estar altamente
satisfechas con las compañías responsables del tratamiento por la respuesta posterior
a la vulneración de datos.
Brindar información importante para que los titulares conozcan qué datos personales
fueron, o están, comprometidos, esto ayudará a monitorear los servicios que tienen
contratados y que pueden ser afectados por la vulneración de datos.
29 Ablon, Lilian. Consumer Attitudes Toward Data Breach Notifications and Loss of Personal Information. Rand Corporation. 2016, Pág. XII. [En línea]. Disponible en: https://www.rand.org/content/dam/rand/pubs/research_reports/RR1100/RR1187/RAND_RR1187.pdf.
67
Artículo 12, A.C. https://www.sontusdatos.org
Notificar una vulneración, también es cumplir con el principio de lealtad establecido
en la ley de protección de datos (LFPDPPP). Este principio obliga al responsable a
mantener la confianza del titular con relación a que sus datos personales serán
tratados conforme a lo acordado.
La mayoría de las personas valoran que las empresas notifiquen las vulneraciones de
datos personales, por lo que continúan haciendo negocios con esas compañías, tal
como sucede en los Estados Unidos.30
Notificar vulneraciones de datos personales es una parte importante de las medidas
de seguridad que deben implementar las empresas que tratan datos personales
porque pone en alerta sobre usos indebidos de esos datos, su pérdida, su acceso no
autorizado, o su modificación o divulgación.
Omitir la notificación de vulneraciones es negar las oportunidades a los titulares
afectados de adoptar medidas oportunas para protegerse de peligros como el robo
de identidad.31
o De hecho, la notificación ayuda a prevenir el robo de identidad: de acuerdo con
la Encuesta Nacional 2010 de Estados Unidos, las personas que recibieron una
notificación de vulneración de datos personales tienen cinco veces más
probabilidades de evitar ser víctimas de robo de identidad que una persona que
no recibió la notificación.32
o En Estados Unidos, las víctimas que recibieron una notificación de vulneración
tuvieron menores costos en tiempo y dinero para recuperar de un robo de
identidad, lo que implicó gastar 510 USD y 30 horas para revolver la afectación,
30 Ablon, Lilian. Consumer Attitudes Toward Data Breach Notifications and Loss of Personal Information. Rand Corporation. 2016, Pág. 41. [En línea]. Disponible en:
https://www.rand.org/content/dam/rand/pubs/research_reports/RR1100/RR1187/RAND_RR1187.pdf. 31 United States Government Accountability Office - GAO. Privacy. Lessons learned about data breach notification. 2007. Pág. 3. [En línea]. Disponible en: http://www.gao.gov/assets/270/260052.pdf. 32 United States Government Accountability Office - GAO. Privacy. Lessons learned about data breach notification. 2007. Pág. 3. [En línea]. Disponible en: http://www.gao.gov/assets/270/260052.pdf.
68
Encuesta sobre políticas de notificación de vulneraciones de datos personales en el sector privado.
Licencia CC 4.0
en comparación de los 1,108 USD y 41 horas que gastaron las victimas que no
recibieron una notificación de vulneración.33
La notificación es un paso fundamental en el procedimiento de reestablecer la
protección de los datos personales, ya que los titulares afectados podrán adoptar
medidas para recuperar el control de su información, por ejemplo cambiar sus
contraseñas, números de cuentas, cancelar tarjetas de crédito o débito, entre otras
medidas.
o De acuerdo al informe Consumer Attitudes Toward Data Breach Notifications and
Loss of Personal Information del 2016, el 51% de las personas que fueron
notificadas de una vulneración cambiaron sus contraseñas y otros números de
identificación personal.34
Cuando los titulares toman medidas para proteger su información, evitan el
tratamiento indebido de sus datos personales.
Al notificar una vulneración, los afectados tienen más información sobre lo ocurrido
para actuar de acuerdo al tipo de vulneración ocurrida, con lo que pueden adoptar
medidas como:35
o Pagar en efectivo, en lugar de utilizar un medio electrónico hasta que se remedie
la situación;
o Añadir alertas a sus servicios contratados con las empresas afectadas por una
vulneración para detectar movimientos irregulares;
33 Office of Privacy Protection of California. Recommended Practices on Notice of Security Breach Involving Personal Information. [En línea]. Disponible en:
https://oag.ca.gov/sites/all/files/agweb/pdfs/privacy/recom_breach_prac.pdf. 34 Ablon, Lilian. Consumer Attitudes Toward Data Breach Notifications and Loss of Personal Information. Rand Corporation. 2016, Pág. 29. [En línea]. Disponible en:
https://www.rand.org/content/dam/rand/pubs/research_reports/RR1100/RR1187/RAND_RR1187.pdf 35 Ablon, Lilian. Consumer Attitudes Toward Data Breach Notifications and Loss of Personal Information. Rand Corporation. 2016, Pág. 29. [En línea]. Disponible en: https://www.rand.org/content/dam/rand/pubs/research_reports/RR1100/RR1187/RAND_RR1187.pdf.
69
Artículo 12, A.C. https://www.sontusdatos.org
o Monitorear la actividad de sus servicios de crédito (transferencias, compras,
retiros) a los que se han suscrito;
o Aumentar la vigilancia sobre sus cuentas de una a tres veces por semana;
o Realizar análisis de antivirus en sus dispositivos móviles (teléfonos inteligentes,
tabletas o laptops).
70
Encuesta sobre políticas de notificación de vulneraciones de datos personales en el sector privado.
Licencia CC 4.0
Información de contacto
SonTusDatos (Artículo 12, A.C.)
Web: https://sontusdatos.org
Teléfono: +52 (55) 6823-9052
Facebook: https://www.facebook.com/SonTusDatos
Twitter: @sontusdatos
Google +: https://plus.google.com/102749216725596520835/
71
Artículo 12, A.C. https://www.sontusdatos.org
Propiedad Intelectual
De la encuesta
La propiedad de esta Encuesta sobre políticas de notificación de vulneraciones de datos
personales en el sector privado pertenece a exclusivamente a Artículo 12, A.C.
Artículo 12, A.C. distribuye esta encuesta (Encuesta sobre políticas de notificación de
vulneraciones de datos personales en el sector privado) bajo una Licencia Creative
Commons Atribución 4.0 Internacional.
De terceros
Las marcas registradas que son mostradas en esta obra son propiedad de sus respectivos
titulares.
°
°
72
Encuesta sobre políticas de notificación de vulneraciones de datos personales en el sector privado.
Licencia CC 4.0
Encuesta sobre políticas de notificación de vulneraciones de
datos personales en el sector privado
ARTÍCULO 12, A.C
Teléfono +52 (55) 6823-9052 // [email protected]
https://www.sontusdatos.org